गुरुवार रात को स्मार्ट कॉन्ट्रैक्ट दुरुपयोग के शिकार होने के बाद लिक्विडिटी प्रोवाइडर और मार्केट मेकर TrustedVolumes को डीफी सेक्टर में एक और करोड़ों डॉलर का हमला हुआ।
$6.7M के हैक द्वारा विश्वसनीय आयतों को प्रभावित किया गया
गुरुवार को, DeFi प्लेटफॉर्म TrustedVolumes, जो 1inch के लिक्विडिटी प्रोवाइडर और मेकर में से एक है, ने एक नया दुरुपयोग सहित प्रोजेक्ट से कई मिलियन डॉलर के बहुत सारे संपत्ति खो दी।
ब्लॉकचेन सुरक्षा कंपनियों पेकशील्ड और ब्लॉकएड की रिपोर्ट्स के अनुसार, हमलावर ने प्रोटोकॉल के कोर सिग्नेचर वैलिडेशन लॉजिक में एक वल्नरेबिलिटी का दुरुपयोग करके लगभग 6 मिलियन डॉलर का व्रैप्ड ईथेरियम (WETH), व्रैप्ड बिटकॉइन (WBTC), USDT और USDT चुरा लिया, जिससे उन्हें अधिकार जांच को बाईपास करने और ट्रेडिंग ऑर्डर बनाने की सुविधा मिली।
ध्यान देने योग्य बात यह है कि हैकर ने सभी संपत्तियों को एक डिसेंट्रलाइज्ड एक्सचेंज (DEX) पर 2.513 ETH के लिए तुरंत विनिमय कर दिया और उन्हें तीन पतों पर वितरित कर दिया। एक X पोस्ट में, TrustedVolumes ने इस घटना की पुष्टि की, जिसमें चोरी हुई राशि को अभी रखे जा रहे पते साझा किए गए और अनुमानित हानि को लगभग 6.7 मिलियन डॉलर तक अपडेट कर दिया गया।
दुर्भावनापूर्ण गतिविधि एक विश्वसनीयVolumes द्वारा नियंत्रित कस्टम RFQ (भाव के लिए अनुरोध) स्वैप प्रॉक्सी थी। क्रिप्टो शोधकर्ता हम्फ्रे ने समझाया कि “कस्टम RFQ स्वैप प्रॉक्सी कॉन्ट्रैक्ट में ‘अधिकृत ऑर्डर साइनर’ व्हाइटलिस्ट को प्रबंधित करने के लिए एक कार्य शामिल है। डीफाई में ऐसे व्हाइटलिस्ट तंत्र सामान्य हैं—केवल व्हाइटलिस्ट पर मौजूद पते ही प्रोटोकॉल के नाम पर वैध लेनदेन निर्देश जारी कर सकते हैं।”
हालाँकि, उन्होंने ध्यान दिया कि “यह पंजीकरण फ़ंक्शन सार्वजनिक है और इसमें कोई अनुमति मॉडिफायर्स नहीं हैं।” परिणामस्वरूप, हमलावर ने इस सार्वजनिक फ़ंक्शन का दुरुपयोग किया, जिससे वह खुद को अधिकृत ऑर्डर साइनर के रूप में पंजीकृत कर लिया।
शोधकर्ता ने आगे कहा, "चूंकि कोई भी बाहरी पता इस कार्य को कॉल कर सकता है, इसका अर्थ है कि सभी को सुरक्षित बॉक्स की चाबी की प्रति बनाने की क्षमता दी जा रही है।"
एक ही हैकर, अलग हमला
ऑनलाइन रिपोर्ट्स ने खुलासा किया कि हमलावर वही हैकर जिम्मेदार था $5 मिलियन 1inch Fusion V1 सेटलमेंट कॉन्ट्रैक्ट एक्सप्लॉइट के लिए मार्च 2025 में, जिसमें TrustedVolumes प्राथमिक पीड़ित था।
हम्प्रे ने यह बताया कि जबकि एक ही व्यक्ति ने दोनों हमलों को किया, लेकिन तकनीकी स्तर पर वे काफी अलग थे। पोस्ट के अनुसार, 2025 की कमजोरी 1inch Fusion V1 सेटलमेंट कॉन्ट्रैक्ट में लो-लेवल EVM मेमोरी मैनिपुलेशन से संबंधित थी।
उस समय, हैकर ने “सक्रिय रूप से ऑन-चेन बातचीत शुरू की” और सफेद टोपी बोनटी के बदले चोरी हुए संपत्ति वापस करने का प्रस्ताव रखा। डीफाई प्लेटफॉर्म ने इस प्रस्ताव को स्वीकार कर लिया, और अधिकांश धनराशि सुरक्षित रूप से वापस कर दी गई।
अब, ट्रस्टेडवॉल्यूम्स ने यह बताया कि यह “एक बग बंटी और एक आपसी स्वीकार्य समाधान के संबंध में निर्माणात्मक संवाद के लिए खुला है।”
डिसेंट्रलाइज्ड एक्सचेंज एग्रीगेटर 1inch ने स्पष्ट किया कि इसके सिस्टम, बुनियादी ढांचे या उपयोगकर्ता फंड पर कोई प्रभाव नहीं पड़ा है, और इसने स्पष्ट किया कि “विश्वसनीय मात्राएँ (TrustedVolumes) एक स्वतंत्र लिक्विडिटी प्रदाता के रूप में कार्य करती हैं, जिनका उपयोग उद्योग भर में कई प्रोटोकॉल किया जाता है, और ये केवल 1inch के लिए ही सीमित नहीं हैं।”
DeFi उत्पातों में ऐतिहासिक वृद्धि देखी गईयह हमला पिछले महीने के दौरान DeFi क्षेत्र को कंपाने वाले दुरुपयोगों की लहर का अनुसरण करता है। पिछले हफ्ते, PeckShield ने खुलासा किया कि अप्रैल में क्रिप्टो क्षेत्र में 40 प्रमुख हैक्स हुए, जिनसे लगभग $647 मिलियन की राशि चली गई।
यह आंकड़ा मार्च के $52.2 मिलियन से 1,140% मासिक (MoM) वृद्धि को दर्शाता है। यह 2026 की पहली तिमाही के दौरान DeFi क्षेत्र द्वारा खोए गए $165 मिलियन से 292% की वृद्धि को भी दर्शाता है।
ध्यान देने योग्य बात यह है कि महीने के शीर्ष दो घटनाएँ, Drift Protocol के $285 मिलियन और KelpDAO के $290 मिलियन के दुरुपयोग, पिछले महीने खोए गए धन का 91% थे। इसके अलावा, वे 2021 के बाद से शीर्ष 10 हैक्स में शामिल हो गए हैं।
